中南大学操作系统安全实验报告

1、CENTRAL SOUTH UNIVERSITY 操作系统安全实验报告学生姓名 专业班级 学 号 学 院 信息科学与工程学院 指导教师 宋虹 实验时间 2014年12月 操作系统安全实验一Windows系统安全设置实验1、 实验目的1、 了解Windows操作系统的安全性2、 熟悉Windows操作系统的安全设置3、 熟悉MBSA的使用2、 实验要求1、 根据实验中的安全设置要求，详细观察并记录设置前后系统的变化，给出分析报告。2、 采用MBSA测试系统的安全性，并分析原因。3、 比较Windows系统的安全设置和Linux系统安全设置的异同。3、 实验内容1、 配置本地安全设置，完成以下内容

2、：（1） 账户策略：包括密码策略（最小密码长度、密码最长存留期、密码最短存留期、强制密码历史等）和账户锁定策略（锁定阈值、锁定时间、锁定计数等）（2） 账户和口令的安全设置：检查和删除不必要的账户（User用户、Duplicate User用户、测试用户、共享用户等）、禁用guest账户、禁止枚举帐号、创建两个管理员帐号、创建陷阱用户（用户名为Administrator、权限设置为最低）、不让系统显示上次登录的用户名。（3） 设置审核策略：审核策略更改、审核账户登录事件、审核账户管理、审核登录事件、审核特权使用等（4） 设置IP安全策略（5） 其他设置：公钥策略、软件限制策略等2、 Windo

3、ws系统注册表的配置（1） 找到用户安全设置的键值、SAM设置的键值（2） 修改注册表：禁止建立空连接、禁止管理共享、关闭139端口、防范SYN攻击、减少syn-ack包的响应时间、预防DoS攻击、防止ICMP重定向报文攻击、不支持IGMP协议、禁止死网关监控技术、修改MAC地址等操作。禁止建立空连接：“Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous” 的值改成“1”即可。禁止管理共享：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerPar

4、ameters项 对于服务器，添加键值“AutoShareServer”，类型为 “REG_DWORD”，值为“0”。 对于客户机，添加键值“AutoShareWks”，类型为 “REG_DWORD”，值为“0”。关闭139端口：在“网络和拨号连接”中“本地连 接”中选取“Internet协议(TCP/IP)”属性，进入“高级 TCP/IP 设置”“WINS 设置”里面有一项“禁用 TCP/IP的NETBIOS”，打勾就关闭了139端口。防范SYN攻击：相关的值项在 HKLMSYSTEMCurrentControlSetService TcpipParameters下。 (1) DWORD：S

5、ynAttackProtect：定义了是否允许SYN淹没攻击保护，值1表示允许起用Windows的SYN淹没攻击保护。(2) DWORD：TcpMaxConnectResponseRetransmissions：定义了对 于连接请求回应包的重发次数。值为1，则SYN淹没攻击不会有效果，但是这样会造成连接请求失败几率的增高。SYN淹没攻击保护只有在该值>=2时才会被启用，默认值为3。 （上边两个值定义是否允许SYN淹没攻击保护，下面三个则定义了激活SYN淹没攻击保护的条件，满足其中之一，则系统自动激活 SYN淹没攻击保护。） 减少syn-ack包的响应时间：HKLMSYSTEMCurren

6、tControlSetServicesTcpipParametersTcpMaxConnectResponseRetransmissions定义了重发SYN-ACK包的次数。HKLMSYSTEMCurrentControlSetServicesNetBtParametersBacklogIncrement默认值为3，最大20，最小1。 定义了NETBT的连接块增加幅度。HKLMSYSTEMCurrentControlSetServicesNetBtParametersMaxConnBackLog默认值为1000，最大可取40000。 定义了NETBT的连接块最大数。预防DoS攻击：在注册表HK

7、LMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以防御一定强度的DoS攻击 SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 防止ICMP

8、重定向报文的攻击： HKLMSYSTEMCurrentControlSetServicesTcpipParameters EnableICMPRedirects REG_DWORD 0x0(默认值为0x1) 该参数控制Windows 是否会改变其路由表以响应网络设备(如路由器)发送给它的ICMP重定向消息，有时会被利用来干坏事。Windows中默认值为1，表示响应 ICMP重定向报文。 不支持IGMP协议： HKLMSYSTEMCurrentControlSetServicesTcpipParametersIGMPLevel REG_DWORD 0x0(默认值为0x2) Win9x下有个bug

9、，就是用可以用IGMP使别人蓝屏，修改注册表可以修正这个bug。Windows虽然没这个bug了，但IGMP并不是必要的，因此照样可以去掉。改成0后用 route print将看不到项了。 禁止死网关监测技术： HKLMSYSTEMCurrentControlSetServices:TcpipParametersEnableDeadGWDetectREG_DWORD 0x0(默认值为ox1) 如果你设置了多个网关，那么你的机器在处理多个连接有困难时，就会自动改用备份网关，有时候这并不是一项好主意，建议禁止死网关监测。 修改MAC地址：HKLMSYSTEMCurrentCont

10、rolSetControlClass 找到右窗口的说明为“网卡”的目录，比如说是4D36E972-E325-11CE-BFC1-08002BE10318展开之，在其下0000,0001,0002.的分支中找到“DriverDesc”的键值为你网卡的说明，比如说“DriverDesc”的值为“Qualcomm Atheros AR8161 PCI-E 千兆以太网控制器 (NDIS 6.30)”然后在右窗口新建一字符串值，名字为“Networkaddress”，内容为你想要的MAC值，比如说是“001010101010”然后重启计算机，ipconfig /all查看。 重启计算机，MAC地址生效：

11、3、 文件及文件夹权限设置（1） 用户组及用户的权限：有哪些组？其权限是什么？有哪些用户？分属哪些组？设置其权限。（2） 新建一个文件夹并设置其访问控制权限。4、 审核日志分析（1） 查找审核日志，显示其详细信息：应用程序日志、安全性日志、系统日志。（2） 分析各种日志所描述的内容，分析警告、信息、错误等的意义。信息为普通系统信息，警告为暂时可不处理的问题，错误为必须立即处理的问题。5、 使用Microsoft 基准安全分析器MBSA 2.0对系统进行安全评估Microsoft 基准安全分析器 (MBSA) 可以检查操作系统，还可以扫描计算机上的不安全配置。检查 Windows 服务包和修补程

12、序时，它将 Windows 组件（如 Internet 信息服务 (IIS) 和 COM+）也包括在内。MBSA 使用一个 XML 文件作为现有更新的清单。该 XML 文件包含在存档 Mssecure.cab 中，由 MBSA 在运行扫描时下载，也可以下载到本地计算机上，或通过网络服务器使用。6、信息安全综合实验系统中的实验：（1）信息安全01. Windows用户管理02. Windows策略管理03. Windows网络与服务管理04. Web服务安全配置05. FTP服务安全配置06. 远程桌面安全配置操作系统安全实验二Linux系统安全设置实验一、实验目的1、了解Linux操作系统的安

13、全性2、熟悉Linux操作系统的安全设置3、建立Linux操作系统的基本安全框架二、实验要求1、根据实验中的安全设置要求，详细观察并记录设置前后系统的变化，给出分析报告。2、使用RPM对系统的软件进行管理，验证系统内软件的完整性，并分析结果。3、比较Windows系统的安全设置和Linux系统安全设置的异同。三、实验内容1、账户和口令安全(1)查看和添加账户在终端下输入命令：useradd *，建立一个新账户；cat /etc/shadow, 查看系统中的账户列表；(2) 添加和更改密码：passwd命令(3) 查看Linux系统中是否有用于检测密码安全的黑客技术语字典及密码检测模块：loca

14、te pam_cracklib.so dict|grep crack2、 账户安全设置（1） 强制用户首次登陆时修改口令，强制每90天更改一次口令，并提前10天提示：chage命令（2） 账户的禁用与恢复：passwd命令，锁定除root之外的不必要的超级用户（3） 建立用户组，设置用户：groupadd命令、groupmod命令、gpasswd命令（4） 设置密码规则：/etc/login.defs文件编辑修改，设置用户的密码最长使用天数、最小密码长度等（5） 为账户和组相关系统文件加上不可更改属性，防止非授权用户获取权限：chattr命令、（6） 删除用户和用户组：userdel命令、gr

15、oupdel命令（7） 限制su命令提权：/etc/pam.d/su文件，在头部添加命令：auth required /lib/security/pam_wheel.so group=wheel这样，只有wheel组的用户可以su到root用户（8） 将用户加入到某个组：usermod命令 （9） 确认shadow中的空口令帐号：awk命令3、 文件系统管理安全（1） 查看某个文件的权限：ls -l（2） 设置文件属主及属组等的权限：chmod命令（3） 切换用户，检查用户对文件的权限：su命令（4） 修改文件的属主和属组：chown命令（5） 文件的打包备份和压缩、和解压：tar命令、gzi

16、p命令、gunzip命令（6） 设置应用于目录的SGID权限位：4、 信息安全综合实验系统实验（1）信息安全07. Linux文件系统08. Linux用户管理09. Linux日志管理10. Linux网络与服务管理操作系统安全实验三SELinux实验一、实验目的1、了解Linux操作系统的安全性2、熟悉SELinux安全模块的配置和使用3、熟悉SELinux框架的基本内容二、实验要求1、根据实验中的安全设置要求，详细观察并记录设置前后系统的变化，给出分析报告。2、熟悉Flask安全体系框架和SELinux安全体系结构的组成。3、比较Flask安全体系框架和权能体系结构。三、实验内容1、安装

17、与启动SELinux安全模块 ubuntu 10环境下：sudo apt-get install selinux2、查看当前SELinux目前的设置，理解设置影响哪方面的安全？查看selinux加载的内核模块：semodule -lSELinux当前运行状态：getenforce设置运行状态： sudo setenforce Enforcing | Permissive | 1 | 0查看拒绝信息：getsebool -a、getsebool allow_execheap查看允许的服务：/var/log/messages、/usr/bin/audit2allow查看用户安全上下文：id可以查看

18、selinux错误日志：sealert -a /var/log/audit/audit.log3、修改SELinux设置，理解设置影响哪方面的安全？ 修改安全上下文：chcon -R 修改策略：setsebool -P 其他修改设置方面，如http、ftp、nfs等。4、查看源代码。【实验总结】 这一次的操作系统安全实验让我学到了平时在课堂不可能学到的东西，我对这一次的操作系统安全实验非常珍惜和用心。在为期两周的上机实验和本机实验中，我查阅了很多资料去了解操作系统安全，每完成一个任务我都兴奋不已。一开始任务是任务，到后面任务就成了自己的作品了。总结一下有以下体会： 1、网络真的很强大，用在学习上将是一个非常高效的助手。几乎所有的资料都能够在网上找到。例如操作系统中各个部分的解释，操作等等，例如账户安全该怎么设置，什么好似文件系统，硬件保护的重要性等等；这些都能在网上找到。也因为这样，整个实验下来，我浏览的相关网页已数不胜数。当然网上的东西很乱很杂，自己要能够学会筛选。不能决定对或错的，有个很简单的方法就是去实践。从网上了解方法然后去实践，但需要注意的是要学会去对比，把不太可能的方法去掉，这样